From gjn at gjn.priv.at Sat Sep 7 16:11:57 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Sat, 07 Sep 2019 16:11:57 +0200 Subject: Frage dcc pyzor razor Message-ID: <3015784.c45pkVDtJk@techz> Hallo liste, ich habe die Frage sind obige Programme noch aktuell und bringen die noch etwas? Hintergrund: Ich bin dabei ein Centos (oracle) MailSystem aufzusetzen mit rspamd und finde für die Programme eigentlich nichts an fertigen Paketen? Wenn ich ehrlich bin, habe ich auch früher nie so richtig verstanden was die Programme eigentlich machen(?). Braucht man die noch oder gibt es da etwas besseres? Danke für eine Antwort, -- mit freundliche Grüßen / best regards, Günther J. Niederwimmer From p at sys4.de Tue Sep 10 23:05:23 2019 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 10 Sep 2019 23:05:23 +0200 Subject: Frage dcc pyzor razor In-Reply-To: <3015784.c45pkVDtJk@techz> References: <3015784.c45pkVDtJk@techz> Message-ID: <20190910210523.eknnewlpxphpjwsy@sys4.de> * Günther J. Niederwimmer : > Hallo liste, > > ich habe die Frage sind obige Programme noch aktuell und bringen die noch > etwas? > > Hintergrund: Ich bin dabei ein Centos (oracle) MailSystem aufzusetzen mit > rspamd und finde für die Programme eigentlich nichts an fertigen Paketen? > > Wenn ich ehrlich bin, habe ich auch früher nie so richtig verstanden was die > Programme eigentlich machen(?). > > Braucht man die noch oder gibt es da etwas besseres? Angesichts polymorpher Schadroutinen, ist schwierig geworden, Nachrichten mit ständig variierendem Anhang auf Grundlage einer Prüfsumme zu blocken. Hier sind Anomaliefilter der erfolgreichere Ansatz. Die Dinger sind, aus meiner Sicht, heute noch interessant, wenn Du lokal Spam blocken willst. Auf ISP-Plattformen setzen wir sowas ein. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From p at sys4.de Tue Sep 10 23:05:23 2019 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 10 Sep 2019 23:05:23 +0200 Subject: Frage dcc pyzor razor In-Reply-To: <3015784.c45pkVDtJk@techz> References: <3015784.c45pkVDtJk@techz> Message-ID: <20190910210523.eknnewlpxphpjwsy@sys4.de> * Günther J. Niederwimmer : > Hallo liste, > > ich habe die Frage sind obige Programme noch aktuell und bringen die noch > etwas? > > Hintergrund: Ich bin dabei ein Centos (oracle) MailSystem aufzusetzen mit > rspamd und finde für die Programme eigentlich nichts an fertigen Paketen? > > Wenn ich ehrlich bin, habe ich auch früher nie so richtig verstanden was die > Programme eigentlich machen(?). > > Braucht man die noch oder gibt es da etwas besseres? Angesichts polymorpher Schadroutinen, ist schwierig geworden, Nachrichten mit ständig variierendem Anhang auf Grundlage einer Prüfsumme zu blocken. Hier sind Anomaliefilter der erfolgreichere Ansatz. Die Dinger sind, aus meiner Sicht, heute noch interessant, wenn Du lokal Spam blocken willst. Auf ISP-Plattformen setzen wir sowas ein. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From gjn at gjn.priv.at Sat Sep 14 16:33:07 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Sat, 14 Sep 2019 16:33:07 +0200 Subject: Frage: Was ist *.proxy-research.com Message-ID: <2703864.QMcD6dvm3W@techz> Hallo Liste, seit einiger Zeit finde ich auf allen Mailservern auch einem externen den ich betreue, diese connect Versuche mit *.proxy-research.com und Variablen IP Adressen das geht den ganzen Tag so dahin? z.B. Sep 14 16:04:21 mx01 postfix/submission/smtpd[21040]: connect from Starttls- saopaulo.proxy-research.com[54.94.237.221] Sep 14 16:04:22 mx01 postfix/submission/smtpd[21040]: Anonymous TLS connection established from starttls-saopaulo.proxy-research.com[54.94.237.221]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Sep 14 16:04:23 mx01 postfix/submission/smtpd[21040]: lost connection after EHLO from Starttls-saopaulo.proxy-research.com[54.94.237.221] Sep 14 16:04:23 mx01 postfix/submission/smtpd[21040]: disconnect from Starttls-saopaulo.proxy-research.com[54.94.237.221] Sep 14 16:04:36 mx01 postfix/submission/smtpd[21040]: connect from mail.proxy- research.com[15.164.73.143] Sep 14 16:04:37 mx01 postfix/submission/smtpd[21040]: Anonymous TLS connection established from mail.proxy-research.com[15.164.73.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Sep 14 16:04:38 mx01 postfix/submission/smtpd[21040]: lost connection after EHLO from mail.proxy-research.com[15.164.73.143] Sind das Spam Versuche oder was ist das, goo..... macht einem nicht schlauer :-(. Danke für einen Hinweis, -- mit freundliche Grüßen / best regards, Günther J. Niederwimmer From lists at worom.net Sat Sep 14 16:44:27 2019 From: lists at worom.net (S. Pfeffer) Date: Sat, 14 Sep 2019 16:44:27 +0200 Subject: Frage: Was ist *.proxy-research.com In-Reply-To: <2703864.QMcD6dvm3W@techz> References: <2703864.QMcD6dvm3W@techz> Message-ID: <91ed876b-98d9-59a4-83ce-da527124776f@worom.net> Hallo, kurze Suche: https://forum.kuketz-blog.de/viewtopic.php?t=4388 Oder auch http://proxy-research.com/ ~~~ You can expect that our measurement system will collect a single certificate using a STARTTLS command every hour from 5 or 6 IP addresses. We do not send any emails to the mail servers, but just fetch the certificate. ~~~ S. Pfeffer Am 14.09.2019 um 16:33 schrieb Günther J. Niederwimmer: > Hallo Liste, > > seit einiger Zeit finde ich auf allen Mailservern auch einem externen den ich > betreue, diese connect Versuche mit *.proxy-research.com und Variablen IP > Adressen das geht den ganzen Tag so dahin? > z.B. > > Sep 14 16:04:21 mx01 postfix/submission/smtpd[21040]: connect from Starttls- > saopaulo.proxy-research.com[54.94.237.221] > Sep 14 16:04:22 mx01 postfix/submission/smtpd[21040]: Anonymous TLS connection > established from starttls-saopaulo.proxy-research.com[54.94.237.221]: TLSv1.2 > with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Sep 14 16:04:23 mx01 postfix/submission/smtpd[21040]: lost connection after > EHLO from Starttls-saopaulo.proxy-research.com[54.94.237.221] > Sep 14 16:04:23 mx01 postfix/submission/smtpd[21040]: disconnect from > Starttls-saopaulo.proxy-research.com[54.94.237.221] > Sep 14 16:04:36 mx01 postfix/submission/smtpd[21040]: connect from mail.proxy- > research.com[15.164.73.143] > Sep 14 16:04:37 mx01 postfix/submission/smtpd[21040]: Anonymous TLS connection > established from mail.proxy-research.com[15.164.73.143]: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Sep 14 16:04:38 mx01 postfix/submission/smtpd[21040]: lost connection after > EHLO from mail.proxy-research.com[15.164.73.143] > > Sind das Spam Versuche oder was ist das, goo..... macht einem nicht schlauer > :-(. > > Danke für einen Hinweis, > From t.schneider at tms-itdienst.at Thu Sep 19 14:03:59 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 19 Sep 2019 14:03:59 +0200 Subject: Mailadresse exsistiert und wird abgelehnt Message-ID: Liebes Postfixuser Habe ein interessantes Problem, obwohl in virtual die Adresse steht wird sie abgelehnt. ipad at tms-itdienst.at>: Recipient address rejected: unverified address: User unknown in virtual alias table Habe natürlich die virtual Datei per postmap neu eingelesen. Wenn ich eine Mail sende, gehts, diese Mail wurde aber intern-local zugestellt. Hat jemand einen Gedankenanstoß an was das liegen kann? Grüße Timm -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver Meine Click2Talk-URL: https://tmspbx.3cx.at/callus#timmschneider Meine Webmeeting-URL: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From philipp.faeustlin at uni-hohenheim.de Thu Sep 19 21:29:56 2019 From: philipp.faeustlin at uni-hohenheim.de (=?UTF-8?Q?Philipp_F=c3=a4ustlin?=) Date: Thu, 19 Sep 2019 21:29:56 +0200 Subject: Mailadresse exsistiert und wird abgelehnt In-Reply-To: References: Message-ID: Eventuell der Verify Cache? address_verify_map = btree:$data_directory/veriy_cache Hab das Problem manchmal wenn ich neue Aliase anlege, die User aber die Adresse schon ausprobieren, bevor ich fertig bin. Dann landet der unverified Eintrag im cache und wenn ich sie angelegt habe wird noch der Cache-Eintrag ausgeliefert. Das lösche ich die Adresse aus dem Cache oder meisten müssen die Nutzer einfach abwarten. Am 19.09.19 um 14:03 schrieb Timm Schneider: > Liebes Postfixuser > > Habe ein interessantes Problem, obwohl in virtual die Adresse steht > wird sie abgelehnt. > > ipad at tms-itdienst.at>: Recipient address rejected: unverified address: > User unknown in virtual alias table > > > Habe natürlich die virtual Datei per postmap neu eingelesen. > > Wenn ich eine Mail sende, gehts, diese Mail wurde aber intern-local > zugestellt. > > Hat jemand einen Gedankenanstoß an was das liegen kann? > > Grüße > Timm From t.schneider at tms-itdienst.at Thu Sep 19 21:46:08 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 19 Sep 2019 21:46:08 +0200 Subject: Mailadresse exsistiert und wird abgelehnt In-Reply-To: References: Message-ID: <03944322-a06c-7206-f41b-6027fea511fc@tms-itdienst.at> Hallo Philipp OK, das wird es gewesen sein, denn vor etwa 45min sind alle Mails von Apple angekommen. Servus Timm Am 19.09.2019 um 21:29 schrieb Philipp Fäustlin: > Eventuell der Verify Cache? > > address_verify_map = btree:$data_directory/veriy_cache > > Hab das Problem manchmal wenn ich neue Aliase anlege, die User aber die > Adresse schon ausprobieren, bevor ich fertig bin. > Dann landet der unverified Eintrag im cache und wenn ich sie angelegt > habe wird noch der Cache-Eintrag ausgeliefert. > > Das lösche ich die Adresse aus dem Cache oder meisten müssen die Nutzer > einfach abwarten. > > Am 19.09.19 um 14:03 schrieb Timm Schneider: >> Liebes Postfixuser >> >> Habe ein interessantes Problem, obwohl in virtual die Adresse steht >> wird sie abgelehnt. >> >> ipad at tms-itdienst.at>: Recipient address rejected: unverified address: >> User unknown in virtual alias table >> >> >> Habe natürlich die virtual Datei per postmap neu eingelesen. >> >> Wenn ich eine Mail sende, gehts, diese Mail wurde aber intern-local >> zugestellt. >> >> Hat jemand einen Gedankenanstoß an was das liegen kann? >> >> Grüße >> Timm > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck T. (AT) 0720.501078 T. (DE) 089.2441 3327 T. (CH) 032.510 9875 T. (IT) 030.535 7945 3CX Gratis: https://www.tms-itdienst.at/telefonserver -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From klaus at tachtler.net Fri Sep 20 09:44:28 2019 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 20 Sep 2019 09:44:28 +0200 Subject: Mailadresse exsistiert und wird abgelehnt In-Reply-To: Message-ID: <20190920094428.Horde.3iIPC6KaXdgeckPLtycQYth@buero.tachtler.net> Hallo Timm, Du kannst auch einzelne Einträge aus der verify_cache (Datenbank) von Postfix entfernen: Siehe nachfolgenden DokuWiki-Eintrag, welchen ich mal für mich erstellt habe: https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#dynamische_adressen-verifizierung Grüße Klaus. -- -------------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net -------------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From t.schneider at tms-itdienst.at Fri Sep 20 10:01:59 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 20 Sep 2019 10:01:59 +0200 Subject: Mailadresse exsistiert und wird abgelehnt In-Reply-To: <20190920094428.Horde.3iIPC6KaXdgeckPLtycQYth@buero.tachtler.net> References: <20190920094428.Horde.3iIPC6KaXdgeckPLtycQYth@buero.tachtler.net> Message-ID: <61a23cb8-017c-d3d0-de2b-60d7d58bcbb7@tms-itdienst.at> Hallo Klaus Habe hier nochmals überlegt. Ich konnte ja an diese E-Mail-Adresse Mails senden, also innerhalb des Servers, aber Mails von Apple haben eben die Ablehnung erhalten. Das Widerspricht doch eigentlich die These mit dem Cache, oder? Ciao Timm Am 20.09.19 um 09:44 schrieb Klaus Tachtler: > Hallo Timm, > > Du kannst auch einzelne Einträge aus der verify_cache (Datenbank) von > Postfix entfernen: > > Siehe nachfolgenden DokuWiki-Eintrag, welchen ich mal für mich erstellt > habe: > > https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#dynamische_adressen-verifizierung > > > > Grüße > Klaus. > > > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver Meine Click2Talk-URL: https://tmspbx.3cx.at/callus#timmschneider Meine Webmeeting-URL: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From klaus at tachtler.net Fri Sep 20 10:03:53 2019 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 20 Sep 2019 10:03:53 +0200 Subject: Mailadresse exsistiert und wird abgelehnt In-Reply-To: <61a23cb8-017c-d3d0-de2b-60d7d58bcbb7@tms-itdienst.at> References: <20190920094428.Horde.3iIPC6KaXdgeckPLtycQYth@buero.tachtler.net> <61a23cb8-017c-d3d0-de2b-60d7d58bcbb7@tms-itdienst.at> Message-ID: <20190920100353.Horde.4SNLRwZtg1oEActzwrSdpE2@buero.tachtler.net> Hallo Timm, > Habe hier nochmals überlegt. > Ich konnte ja an diese E-Mail-Adresse Mails senden, also innerhalb > des Servers, aber Mails von Apple haben eben die Ablehnung erhalten. > Das Widerspricht doch eigentlich die These mit dem Cache, oder? Erst die Restriction z.B. reject_unverified_recipient stößt den Verifizierungsprozess an, deshalb sind Tests aus mynetworks nicht zielführend! Grüße Klaus. -- -------------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net -------------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From t.schneider at tms-itdienst.at Fri Sep 20 10:21:43 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 20 Sep 2019 10:21:43 +0200 Subject: Mailadresse exsistiert und wird abgelehnt In-Reply-To: <20190920100353.Horde.4SNLRwZtg1oEActzwrSdpE2@buero.tachtler.net> References: <20190920094428.Horde.3iIPC6KaXdgeckPLtycQYth@buero.tachtler.net> <61a23cb8-017c-d3d0-de2b-60d7d58bcbb7@tms-itdienst.at> <20190920100353.Horde.4SNLRwZtg1oEActzwrSdpE2@buero.tachtler.net> Message-ID: Ach ja, klar. Dann wäre es sinnvoll mynetworks danach zu setzen. Danke für die Info. Ciao Timm Am 20.09.19 um 10:03 schrieb Klaus Tachtler: > Hallo Timm, > >> Habe hier nochmals überlegt. >> Ich konnte ja an diese E-Mail-Adresse Mails senden, also innerhalb des >> Servers, aber Mails von Apple haben eben die Ablehnung erhalten. >> Das Widerspricht doch eigentlich die These mit dem Cache, oder? > > Erst die Restriction z.B. reject_unverified_recipient stößt den > Verifizierungsprozess an, deshalb sind Tests aus mynetworks nicht > zielführend! > > > Grüße > Klaus. > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver Meine Click2Talk-URL: https://tmspbx.3cx.at/callus#timmschneider Meine Webmeeting-URL: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From simpsonetti at googlemail.com Thu Sep 26 11:31:09 2019 From: simpsonetti at googlemail.com (=?UTF-8?Q?Sebastian_G=C3=B6decke?=) Date: Thu, 26 Sep 2019 11:31:09 +0200 Subject: restrictions einbauen Message-ID: Hallo ML, ich möchte unseren Postfix weiter absichern. Wir betreiben den im Rahmen einer Schule. Was in letzter Zeit vorgekommen ist, sind das Versenden von Mails die wohl als spam klassifiziert werden können. Auch das unauthorisierte Versenden soll nicht erlaubt sein. Ich gehe davon aus, das mit den restrictions in der main.cf zu machen. Was kann ich als Optionen noch setzen, damit das Mailen nur von autorisierten, also kein Massenversand durch irgend wen, Personen erfolgen kann. Des weiteren überlege ich, den Port zum Versenden (von kollegen mit ihren mobilen Geräten, aktuell 587) nur noch über einen high-port zu erlauben. Von aussen wäre das über einen Portweiterleitung, von innen muss ich in der master.cf etwas ändern. Wo muss ich da etwas ändern? Danke für tipps. Hier meine Configs: postconf -n alias_maps = hash:/etc/aliases, hash:/etc/aliases.d/oss-groups, mysql:/etc/postfix/mysql-aliases.cf biff = no canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin compatibility_level = 2 content_filter = amavis:[127.0.0.1]:10024 daemon_directory = /usr/lib/postfix/bin/ data_directory = /var/lib/postfix debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin defer_transports = delay_warning_time = 6h disable_dns_lookups = no disable_mime_output_conversion = no disable_vrfy_command = yes html_directory = /usr/share/doc/packages/postfix-doc/html inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = cyrus mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 50000000 message_strip_characters = \0 mydestination = $myhostname, localhost.$mydomain, $mydomain, localhost myhostname = hostname-intern mynetworks_style = subnet newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES relay_clientcerts = relay_domains = $mydestination, hash:/etc/postfix/relay relayhost = [externer-mailserver] relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix-doc/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_enforce_tls = no smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = smtp_tls_CApath = smtp_tls_cert_file = smtp_tls_key_file = smtp_tls_loglevel = 1 smtp_tls_security_level = may smtp_tls_session_cache_database = smtp_tls_session_cache_timeout = 3600s smtp_use_tls = yes smtpd_banner = $myhostname ESMTP smtpd_client_connection_count_limit = 20 smtpd_client_connection_rate_limit = 20 smtpd_client_message_rate_limit = 20 smtpd_client_restrictions = smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client dsn.rfc-ignorant.org,reject_rbl_client dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client sbl-xbl.spamhaus.org,reject_rbl_client bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client cbl.abuseat.org,reject_rbl_client ix.dnsbl.manitu.net,reject_rbl_client combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, reject_non_fqdn_sender, reject smtpd_recipient_limit = 50 smtpd_recipient_overshoot_limit = 50 smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client dsn.rfc-ignorant.org,reject_rbl_client dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client sbl-xbl.spamhaus.org,reject_rbl_client bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client cbl.abuseat.org,reject_rbl_client ix.dnsbl.manitu.net,reject_rbl_client combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, reject smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, smtpd_sasl_auth_enable = yes smtpd_sasl_path = smtpd smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client dsn.rfc-ignorant.org,reject_rbl_client dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client sbl-xbl.spamhaus.org,reject_rbl_client bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client cbl.abuseat.org,reject_rbl_client ix.dnsbl.manitu.net,reject_rbl_client combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, reject smtpd_tls_CApath = /etc/ssl/certs/ smtpd_tls_ask_ccert = no smtpd_tls_cert_file = /etc/ssl/servercerts/__public_key.crt smtpd_tls_key_file = /etc/ssl/servercerts/private.key smtpd_tls_received_header = no smtpd_use_tls = yes strict_8bitmime = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 virtual_alias_domains = hash:/etc/postfix/virtual virtual_alias_maps = hash:/etc/postfix/virtual master.cf # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (no) (never) (100) # ========================================================================== smtp inet n - n - - smtpd -v amavis unix - - n - 4 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 -o smtp_sasl_auth_enable=no -o smtp_use_tls=no -o smtp_tls_security_level= -o smtp_sasl_security_options= -o smtp_tls_wrappermode=no #smtp inet n - n - 1 postscreen #smtpd pass - - n - - smtpd #dnsblog unix - - n - 0 dnsblog #tlsproxy unix - - n - 0 tlsproxy submission inet n - n - 10 smtpd # -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_tls_auth_only=yes # -o smtpd_reject_unlisted_recipient=no # -o smtpd_reject_unlisted_recipient=no -o smtpd_recipient_restrictions= -o smtpd_relay_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #smtps inet n - n - 10 smtpd # -o syslog_name=postfix/smtps # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_reject_unlisted_recipient=no # -o smtpd_reject_unlisted_recipient=no # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions -o smtpd_recipient_restrictions= # -o smtpd_relay_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #628 inet n - n - - qmqpd pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - n 300 1 oqmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o smtpd_restriction_classes= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings -o local_header_rewrite_clients= -o local_recipient_maps= -o relay_recipient_maps= -- Mit freundlichen Grüßen Sebastian Gödecke From kai_postfix at fuerstenberg.ws Thu Sep 26 12:25:41 2019 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Thu, 26 Sep 2019 12:25:41 +0200 Subject: restrictions einbauen In-Reply-To: References: Message-ID: Hallo Sebastian, Am 26.09.2019 um 11:31 schrieb Sebastian Gödecke: > Hallo ML, > ich möchte unseren Postfix weiter absichern. Wir betreiben den im > Rahmen einer Schule. > Was in letzter Zeit vorgekommen ist, sind das Versenden von Mails die > wohl als spam klassifiziert werden können. Auch das unauthorisierte > Versenden soll nicht erlaubt sein. > Ich gehe davon aus, das mit den restrictions in der main.cf zu machen. > Was kann ich als Optionen noch setzen, damit das Mailen nur von > autorisierten, also kein Massenversand durch irgend wen, Personen > erfolgen kann. > Des weiteren überlege ich, den Port zum Versenden (von kollegen mit > ihren mobilen Geräten, aktuell 587) nur noch über einen high-port zu > erlauben. Von aussen wäre das über einen Portweiterleitung, von innen > muss ich in der master.cf etwas ändern. Wo muss ich da etwas ändern? > Danke für tipps. > > Hier meine Configs: Ich habe mir momentan mal nur die Restriktionen angesehen. Da ist zwar im Grunde nichts falsch, aber ziemlich unübersichtlich. Das verkompliziert die Konfiguration nur und kann auch mal unerwartete Effekte haben, wenn die nicht übereinstimmen. > postconf -n > [..] > smtpd_delay_reject = yes bedeutet, dass alle Restrictions erst nach dem RCPT TO: abgearbeitet werden. Ist übrigens auch Standard. Die Einstellung kannst du eigentlich auch weg lassen. Dadurch ergeben sich zudem ein paar Vereinfachungen: > smtpd_helo_restrictions = permit_sasl_authenticated, > permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client > dsn.rfc-ignorant.org,reject_rbl_client > dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client > sbl-xbl.spamhaus.org,reject_rbl_client > bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client > cbl.abuseat.org,reject_rbl_client > ix.dnsbl.manitu.net,reject_rbl_client > combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, > reject_non_fqdn_sender, reject Abgesehen von reject_non_fqdn_sender sind deine helo_restrictions identisch zu den recipient_restrictions. Kannst du komplett streichen, den reject_non_fqdn_sender kann du bei den recipient_restrictions rein schreiben. > smtpd_recipient_restrictions = permit_sasl_authenticated, > permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client > dsn.rfc-ignorant.org,reject_rbl_client > dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client > sbl-xbl.spamhaus.org,reject_rbl_client > bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client > cbl.abuseat.org,reject_rbl_client > ix.dnsbl.manitu.net,reject_rbl_client > combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, > reject Hier muss alles rein, was nicht von deinen eigenen Usern kommt. Das permit_sasl_authenticated kannst du hier weglassen. Das permit_mynetworks prinzipiell auch; kannst du auch stehen lassen, macht keinen Unterschied. Warum? Es steht bereits hier vv. > smtpd_relay_restrictions = permit_mynetworks, > permit_sasl_authenticated, reject_unauth_destination, Die relay_restrictions werden unmittelbar vor den recipient restrictions abgearbeitet, sind aber ansonsten gleichwertig mit letzteren. Es sind die Restrictions für SASL. reject_unauth_destination macht hier keinen Sinn. Gehört eher in die recipient_restrictions ziemlich weit nach oben. Sinnvoll wäre (prinzipiell): sender-, helo-, client-restrictions leer lassen oder ganz streichen. dann: smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated smtpd_recipient_restrictions = reject_unauth_destination reject_non_fqdn_sender reject_rbl_client multi.uribl.com reject_rbl_client dul.dnsbl.sorbs.net reject_rbl_client list.dsbl.org reject_rbl_client sbl-xbl.spamhaus.org reject_rbl_client bl.spamcop.net reject_rbl_client dnsbl.sorbs.net reject_rbl_client cbl.abuseat.org reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client combined.rbl.msrbl.net reject_rbl_client rabl.nuclearelephant.com permit 2 Sachen hierzu: 1. Prüfe bitte, ob die RBL-Listen noch existieren. Mindestens rfc-ignorant.org gibts es nicht mehr. Die anderen habe ich mir jetzt nicht angesehen. 2. Ich habe hier was geändert, nämlich das abschließende reject durch ein permit ersetzt. Alles was die ganzen Restriktionen überlebt hat, ist geprüft und für dich bestimmt. Die Mails dürfen dann im allgemeinen auch rein. Das permit kann grundsätzlich auch einfach weg gelassen werden, man kann es der Übersicht halber auch stehen lassen. Wenn ich was vergessen haben sollte, schreibst du die fehlende Restriktion einfach in die recipient_restrictions. Die werden von oben nach unten abgearbeitet. Such dir die passende Stelle dafür aus, Bsp: unter dem "permit" wäre alles Blödsinn, es würde nie erreicht werden. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From simpsonetti at googlemail.com Thu Sep 26 13:15:59 2019 From: simpsonetti at googlemail.com (=?UTF-8?Q?Sebastian_G=C3=B6decke?=) Date: Thu, 26 Sep 2019 13:15:59 +0200 Subject: restrictions einbauen In-Reply-To: References: Message-ID: Am Do., 26. Sept. 2019 um 12:35 Uhr schrieb Kai Fürstenberg : > > Hallo Sebastian, > > Am 26.09.2019 um 11:31 schrieb Sebastian Gödecke: > > Hallo ML, > > ich möchte unseren Postfix weiter absichern. Wir betreiben den im > > Rahmen einer Schule. > > Was in letzter Zeit vorgekommen ist, sind das Versenden von Mails die > > wohl als spam klassifiziert werden können. Auch das unauthorisierte > > Versenden soll nicht erlaubt sein. > > Ich gehe davon aus, das mit den restrictions in der main.cf zu machen. > > Was kann ich als Optionen noch setzen, damit das Mailen nur von > > autorisierten, also kein Massenversand durch irgend wen, Personen > > erfolgen kann. > > Des weiteren überlege ich, den Port zum Versenden (von kollegen mit > > ihren mobilen Geräten, aktuell 587) nur noch über einen high-port zu > > erlauben. Von aussen wäre das über einen Portweiterleitung, von innen > > muss ich in der master.cf etwas ändern. Wo muss ich da etwas ändern? > > Danke für tipps. > > > > Hier meine Configs: > > Ich habe mir momentan mal nur die Restriktionen angesehen. Da ist zwar > im Grunde nichts falsch, aber ziemlich unübersichtlich. Das > verkompliziert die Konfiguration nur und kann auch mal unerwartete > Effekte haben, wenn die nicht übereinstimmen. > > > postconf -n > > [..] > > smtpd_delay_reject = yes > > bedeutet, dass alle Restrictions erst nach dem RCPT TO: abgearbeitet > werden. Ist übrigens auch Standard. Die Einstellung kannst du eigentlich > auch weg lassen. > > Dadurch ergeben sich zudem ein paar Vereinfachungen: > > > smtpd_helo_restrictions = permit_sasl_authenticated, > > permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client > > dsn.rfc-ignorant.org,reject_rbl_client > > dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client > > sbl-xbl.spamhaus.org,reject_rbl_client > > bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client > > cbl.abuseat.org,reject_rbl_client > > ix.dnsbl.manitu.net,reject_rbl_client > > combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, > > reject_non_fqdn_sender, reject > > Abgesehen von reject_non_fqdn_sender sind deine helo_restrictions > identisch zu den recipient_restrictions. Kannst du komplett streichen, > den reject_non_fqdn_sender kann du bei den recipient_restrictions rein > schreiben. > > > smtpd_recipient_restrictions = permit_sasl_authenticated, > > permit_mynetworks, reject_rbl_client multi.uribl.com,reject_rbl_client > > dsn.rfc-ignorant.org,reject_rbl_client > > dul.dnsbl.sorbs.net,reject_rbl_client list.dsbl.org,reject_rbl_client > > sbl-xbl.spamhaus.org,reject_rbl_client > > bl.spamcop.net,reject_rbl_client dnsbl.sorbs.net,reject_rbl_client > > cbl.abuseat.org,reject_rbl_client > > ix.dnsbl.manitu.net,reject_rbl_client > > combined.rbl.msrbl.net,reject_rbl_client rabl.nuclearelephant.com, > > reject > > Hier muss alles rein, was nicht von deinen eigenen Usern kommt. Das > permit_sasl_authenticated kannst du hier weglassen. Das > permit_mynetworks prinzipiell auch; kannst du auch stehen lassen, macht > keinen Unterschied. > > Warum? Es steht bereits hier vv. > > > smtpd_relay_restrictions = permit_mynetworks, > > permit_sasl_authenticated, reject_unauth_destination, > > Die relay_restrictions werden unmittelbar vor den recipient restrictions > abgearbeitet, sind aber ansonsten gleichwertig mit letzteren. Es sind > die Restrictions für SASL. > > reject_unauth_destination macht hier keinen Sinn. Gehört eher in die > recipient_restrictions ziemlich weit nach oben. > > Sinnvoll wäre (prinzipiell): > sender-, helo-, client-restrictions leer lassen oder ganz streichen. > > dann: > smtpd_relay_restrictions = > permit_mynetworks, > permit_sasl_authenticated > > smtpd_recipient_restrictions = > reject_unauth_destination > reject_non_fqdn_sender > reject_rbl_client multi.uribl.com > reject_rbl_client dul.dnsbl.sorbs.net > reject_rbl_client list.dsbl.org > reject_rbl_client sbl-xbl.spamhaus.org > reject_rbl_client bl.spamcop.net > reject_rbl_client dnsbl.sorbs.net > reject_rbl_client cbl.abuseat.org > reject_rbl_client ix.dnsbl.manitu.net > reject_rbl_client combined.rbl.msrbl.net > reject_rbl_client rabl.nuclearelephant.com > permit > > 2 Sachen hierzu: > 1. Prüfe bitte, ob die RBL-Listen noch existieren. Mindestens > rfc-ignorant.org gibts es nicht mehr. Die anderen habe ich mir jetzt > nicht angesehen. > > 2. Ich habe hier was geändert, nämlich das abschließende reject durch > ein permit ersetzt. Alles was die ganzen Restriktionen überlebt hat, ist > geprüft und für dich bestimmt. Die Mails dürfen dann im allgemeinen auch > rein. Das permit kann grundsätzlich auch einfach weg gelassen werden, > man kann es der Übersicht halber auch stehen lassen. > > Wenn ich was vergessen haben sollte, schreibst du die fehlende > Restriktion einfach in die recipient_restrictions. Die werden von oben > nach unten abgearbeitet. Such dir die passende Stelle dafür aus, Bsp: > unter dem "permit" wäre alles Blödsinn, es würde nie erreicht werden. > Danke schon mal für deine Hinweise. Das mit den recipients habe ich gestern auch mit reject_non_fqdn_sender gesetzt, was zur Folge hatte das von dem privaten Mailaccount meiner Chefin an ihre dienstliche Mail alle paar minuten eine Meldung vom Mail delivery System bekommen hat, wo drin stand, das die recipient adresse rejected wurde aufgrund noch "need fully-qualified adress". Der Grund ist mir auch klar: vorname.nachname at domain.de wird nach uid at localhost ersetzt. Also habe ich diesen Punkt wieder raus genommen und dann ging es mit der Zustellung. Ich werde das aber noch mal durchgehen und anpassen. Gruß Sebastian > -- > Kai Fürstenberg > > PM an: kai at fuerstenberg punkt ws > -- Mit freundlichen Grüßen Sebastian Gödecke